Apple a trouvé le moyen de s'aliéner une partie de la communauté des chercheurs en sécurité informatique en lançant son iPhone SRD, un smartphone qui est pourtant dédié à la chasse aux vulnérabilités. L'appareil fait sauter les barrières sécuritaires d'iOS, ce qui coupe l'herbe sous le pied aux iPhone « dev-fused » qui circulent sous le manteau et qui permettent aux hackers de jeter un œil dans les entrailles d'iOS (lire : Ces prototypes d'iPhone vendus aux hackers spécialisés en sécurité).
no researchers or engineers on our end are participating (in an official/Guardian-affiliated capacity) due to the restriction Apple appears to impose on information disclosure.
— Will Strafach (@chronic) July 22, 2020
hope to see that re-thought at some point. https://t.co/ikiUyAle1E
Mais le programme Security Research Device d'Apple contient des restrictions qui désespèrent plusieurs grands noms du domaine, comme Will Strafach (patron de l'app Guardian), les chercheurs de ZecOps, Axi0mX à qui l'on doit la trouvaille Checkm8, ou encore l'équipe Project Zero qui compte de nombreux forts en thème travaillant chez Google. Ces chercheurs ont annoncé qu'ils ne solliciteraient pas Apple pour obtenir un iPhone SRD, en raison notamment d'une modalité du programme.
ZecOps will not use the "dedicated research device" released by @Apple due to the program's restrictions and minimal benefits. We will continue to report bugs to Apple because it's the right thing to do.
— ZecOps (@ZecOps) July 22, 2020
Instead of releasing dedicated research device we encourage Apple to ...
Si un chercheur prévient Apple de la découverte d'une faille grâce à cet appareil spécial, le constructeur lui indiquera la date de publication à laquelle il pourra dévoiler la vulnérabilité au grand jour. Cette date correspond généralement au jour où une mise à jour iOS est mise à disposition. « Apple travaillera de bonne foi pour corriger la faille aussi rapidement que possible. Jusqu'à la date de publication, vous ne pourrez pas discuter de la vulnérabilité avec d'autres », peut-on encore lire sur le site d'Apple.
It looks like we won't be able to use the Apple "Security Research Device" due to the vulnerability disclosure restrictions, which seem specifically designed to exclude Project Zero and other researchers who use a 90 day policy.
— Ben Hawkes (@benhawkes) July 22, 2020
Pour Ben Hawkes du Project Zero, cette restriction semble viser spécifiquement son équipe qui a l'habitude de dévoiler ses failles 90 jours après leur découverte. Un délai largement partagé dans le petit monde des chercheurs en sécurité. Ce qui est reproché ici c'est qu'Apple garde le contrôle du processus de divulgation de la vulnérabilité (difficile de se départir d'une culture de la centralisation ancrée depuis toujours chez Apple).
La crainte est que le constructeur abuse de cette modalité pour retarder la sortie de correctifs ou qu'il empêche la publication des travaux des chercheurs. Apple a fait un pas important avec l'iPhone SRD, mais la Pomme va devoir aussi faire la preuve de sa bonne volonté.
